Solicitando permissões que exigem consentimento administrativo

Neste artigo, descreveremos a experiência de permissão e consentimento para um cenário em que você como desenvolvedor escreve o código do aplicativo para solicitar permissões de aplicativo que exigirão consentimento administrativo. Capturas de tela de exemplo de caixas de diálogo de permissão e consentimento e o centro de administração do Microsoft Entra dão uma ideia da experiência de seus usuários e administradores de locatários. Melhore a colaboração com administradores para implementar o princípio de Confiança Zero de privilégio mínimo nos seus aplicativos.

Ao desenvolver seu aplicativo, você escreverá um código que solicita acesso a um recurso solicitando um token de acesso com um escopo (ou permissão) específico. Você utilizará o parâmetro de escopo conforme descrito no padrão OAuth 2.0 que algumas pessoas descrevem como uma permissão. Um proprietário de recurso concederá ou negará cada solicitação de permissão. Na ID do Microsoft Entra, o proprietário do recurso é o usuário do aplicativo ou um administrador que tem os direitos de conceder consentimento a esse recurso em nome de todos os usuários.

Experiência de consentimento do usuário

Quando seu aplicativo solicita permissão para acessar um recurso, o usuário pode ver uma caixa de diálogo de Permissões solicitadas semelhante a este exemplo.

Na caixa de diálogo de exemplo acima, o usuário dá consentimento para permitir que o aplicativo leia os dados no seu nome selecionando Aceitar ou negar a solicitação selecionando Cancelar. O aplicativo recebe um token de acesso e poderá continuar seus processos após o consentimento do usuário. Lembre-se de garantir que seu aplicativo esteja pronto para lidar normalmente quando não receber um token.

Experiência de consentimento do administrador

Para algumas solicitações de acesso, somente um administrador pode conceder consentimento. Se o acesso solicitado for poderoso ou envolver recursos cujos proprietários não sejam os usuários atuais, codifique para que apenas um administrador possa conceder solicitações.

No entanto, você nunca sabe quais permissões exigirão o consentimento do administrador e quais permitirão que um usuário comum dê consentimento, pois os administradores do locatário podem configurá-lo com Não permitir consentimento do usuário (todas as permissões exigem consentimento do administrador), conforme mostrado no exemplo de captura de tela a seguir das Configurações de consentimento do usuário no Centro de administração do Microsoft Entra.

Os administradores também podem Permitir consentimento do usuário para aplicativos de de fornecedores verificados, para permissões selecionadas, conforme mostrado na captura de tela de exemplo a seguir das Configurações de consentimento do usuário no Centro de administração do Microsoft Entra.

Os administradores podem então Adicionar permissões às quais os usuários podem consentir, conforme mostrado na captura de tela de exemplo a seguir de Classificações de permissão no Centro de administração do Microsoft Entra.

Quando seu aplicativo solicita uma permissão que requer consentimento do administrador (por design ou configuração de administrador), o usuário pode ver uma caixa de diálogo Requer aprovação do administrador semelhante a este exemplo.

A caixa de diálogo de exemplo acima mostra a experiência padrão (pronta para uso) para permissões que exigem consentimento do administrador. A maioria dos usuários não sabe o que fazer nesse cenário. Eles não sabem quem é o administrador deles, não sabem a quem recorrer para aprovação. Essa incerteza pode limitar a capacidade do usuário de alcançar os resultados desejados.

Melhorando as permissões e a experiência de consentimento

Para melhorar as permissões e a experiência de consentimento, o administrador do locatário pode configurar o fluxo de trabalho de consentimento do administrador, conforme mostrado na captura de tela de exemplo a seguir das Configurações do usuário no Centro de administração do Microsoft Entra.

Abaixo de Solicitações de consentimento do administrador, o administrador de locatários pode melhorar a experiência de permissão e consentimento do usuário selecionando Sim em Usuários podem solicitar consentimento do administrador para aplicativos com os quais não podem consentir e definindo outras configurações de Solicitações de consentimento do administrador.

Depois que o administrador de locatários selecionar Sim em Os usuários podem solicitar consentimento do administrador para aplicativos que não podem consentir e um aplicativo solicitar uma permissão que exige consentimento do administrador, o usuário verá algo semelhante à caixa de diálogo Aprovação necessária, que fornece uma melhor experiência do usuário.

Na caixa de diálogo de exemplo acima, o usuário pode Inserir a justificativa para solicitar este aplicativo antes de selecionar Solicitar aprovação. A solicitação de aprovação, ele então entra em uma fila de Solicitações de consentimento do administrador (exemplo de captura de tela abaixo), em que os administradores têm opções para revisar, aceitar ou banir aplicativos na organização com base no perfil de risco.

Quando um administrador executa um aplicativo que requer consentimento do administrador (e ele ainda não configurou esse consentimento no centro de administração do Microsoft Entra), o usuário administrador vê uma caixa de diálogo Permissões solicitadas um pouco diferente, semelhante ao exemplo a seguir.

No exemplo acima, o administrador vê uma descrição das permissões que o aplicativo está solicitando. O administrador pode selecionar Aceitar para executar o aplicativo individualmente ou selecionar Consentimento em nome da organização antes de selecionar Aceitar. Depois que o administrador conceder consentimento para a organização, nenhum futuro usuário da organização precisará conceder permissão para o aplicativo, a menos que um administrador remova o consentimento da configuração Solicitações de consentimento do administrador do locatário.

Outro método de consentimento do administrador de locatários está nas Permissões do centro de administração do Microsoft Entra, em que os administradores podem revisar os detalhes das permissões existentes que o aplicativo já solicitou, como neste exemplo.

No exemplo acima de Consentimento do usuário, o administrador pode revisar as permissões concedidas para o aplicativo com informações sobre reivindicações, o tipo de permissão e quem deu consentimento. O administrador pode selecionar Consentimento do administrador para revisar as permissões concedidas que requerem consentimento do administrador.

Solicitando o consentimento do administrador com antecedência

Sua melhor estratégia de permissões de aplicativos é declarar antecipadamente todas as permissões das quais o aplicativo pode precisar ou que poderá solicitar quando você registrá-lo. Não é necessário solicitar todas as permissões ao mesmo tempo, mas, depois de declarar todas das quais ele pode precisar, os administradores podem selecionar Dar consentimento do administrador para na configuração do aplicativo no locatário para mostrar uma caixa de diálogo semelhante a este exemplo.

O exemplo acima mostra como o administrador pode pré-consentir com as permissões que você declarou e fornecer a melhor experiência para seus usuários e administradores de locatário.

Solicitar o consentimento do administrador com antecedência é uma excelente opção para aplicativos de linha de negócios (LOB), especialmente os aplicativos que sua organização está desenvolvendo. É mais fácil não ter que perguntar ao seu usuário se sua empresa pode acessar os dados da sua empresa pré-consentindo esses aplicativos. Você faz a solicitação de consentimento do administrador como parte do processo de registro do aplicativo.

Próximas etapas

• O artigo Adquirir autorização para acessar recursos ajuda a entender a melhor maneira de garantir a Confiança Zero ao adquirir permissões de acesso a recursos para um aplicativo.
• O artigo Proteção de APIs descreve as práticas recomendadas para proteger sua API por meio de registro, definição de permissões e consentimento e imposição de acesso para atingir as metas de Confiança Zero.
• O artigo Práticas recomendadas de autorização ajuda você a implementar os melhores modelos de autorização, permissão e consentimento para aplicativos.
• O artigo Personalizar tokens descreve informações que você pode receber nos tokens do Microsoft Entra e como personalizar tokens para melhorar a flexibilidade e o controle e, ao mesmo tempo, aumentar a segurança de confiança zero do aplicativo com privilégios mínimos.
• O artigo Visão geral de permissões e consentimento na plataforma de identidade da Microsoft ajuda a compreender os conceitos fundamentais de acesso e autorização.
• O artigo Visão geral do consentimento e das permissões ajuda a aprender conceitos e cenários básicos sobre consentimento e permissões no Microsoft Entra ID.
• O módulo de aprendizagem: Estrutura de permissões e consentimento ajuda a aprender modelos de estrutura de permissões e consentimento.
• Aprenda ao vivo: Identidade da Microsoft: estrutura de permissões e consentimento ajuda a aprender os conceitos básicos da identidade da Microsoft, incluindo tokens, tipos de conta e topologias.